La fonction de conformité au sein des établissements de crédit et

La fonction de conformité
au sein des établissements
de crédit et des entreprises
d’investissement
INTRODUCTION : UN ENVIRONNEMENT
QUI APPELLE LE RENFORCEMENT
DE LA FONCTION DE CONFORMITÉ AU SEIN
DU DISPOSITIF DE CONTRÔLE INTERNE
L’environnement dans lequel évoluent les banques les contraint à maîtriser
un nombre croissant de techniques et de réglementations et à mettre en œuvre une
politique de maîtrise des risques toujours plus rigoureuse. En effet, on observe au
cours des dernières années :
− une diversification des métiers au sein des grands groupes du fait de
rapprochements, de partenariats, d’acquisitions ;
− un enrichissement de l’offre de produits proposés aux différentes catégories de
clients ;
− un développement des opérations complexes. Les opérations de financement
structuré comme celles de titrisation pour compte de tiers faisant appel à des
véhicules ad hoc se sont ainsi multipliées ; l’usage de nouveaux instruments
sophistiqués s’est fortement développé au cours des dernières années ;
− une expansion géographique des implantations et des risques pris par les
établissements ;
− une multiplication des agents économiques avec lesquels les établissements sont
amenés à traiter, du fait par exemple de l’émergence au cours des dernières
années de l’externalisation d’activités ;
− une intensification de la concurrence entre les établissements, ce qui se traduit
par un renforcement des contraintes de rentabilité.
Au total, les établissements ont vu les risques qu’ils encourent s’accroître et
se diversifier dans des cadres légaux en évolution. Cette tendance implique une très
grande vigilance sur la conformité de leurs opérations.
163
Depuis quelques années, la plus grande fréquence des affaires imputables
pour partie à un non-respect ou à une maîtrise insuffisante de la législation ou de la
réglementation ainsi que les coûts externes financiers et de réputation de ces
événements imposent aux entreprises industrielles et commerciales, mais aussi aux
banques et aux régulateurs, de réfléchir aux modalités de maîtrise de ces risques.
Dans ce contexte, une réflexion a été engagée au niveau international,
notamment au sein du Comité de Bâle, afin, d’une part, de mieux appréhender,
dans le calcul des exigences de fonds propres, les risques autres que les risques de
crédit et de marché et, d’autre part, de formuler des propositions spécifiques quant
aux modalités de contrôle du risque de non-conformité. Le document consultatif du
Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques
— Consultative Document on the Compliance Function in Banks — constitue une
étape majeure de cette réflexion.
En France, le principe du respect de la conformité a été inscrit, dès 1997,
dans le règlement n° 97-02 du Comité de la réglementation bancaire et financière
relatif au contrôle interne. Les évolutions du cadre d’activité des banques appellent
une réflexion, dans le contexte de celle conduite au niveau international, sur le
contenu précis et les grands principes de mise en œuvre de la conformité. En
particulier, du fait de l’importance et de la spécificité du risque de non-conformité
aux lois et règlements, celui-ci paraît devoir être pris en charge par une fonction
dédiée et, comme l’ensemble des risques encourus par les établissements de crédit
et les entreprises d’investissement, être pleinement intégré dans le champ
d’exercice du contrôle interne.
Le contrôle interne s’exerce, au moyen de la définition de procédures, de
mesures et de limites de positions, sur :
– les risques de nature économique, tels que le risque de crédit ou les risques de
marché ;
– les risques opérationnels, définis par le Comité de Bâle et repris dans la
réglementation française (cf. l’étude du présent Rapport consacrée au risque
opérationnel) ;
– les risques d’ordre juridique, dont font partie les risques de litige et le risque de
non-conformité aux lois, règlements et normes professionnelles.
La présente étude est consacrée spécifiquement au risque de nonconformité. Elle examine les orientations possibles afin de mieux appréhender,
mesurer et contrôler les risques de non-respect de lois ou de réglementations et de
limiter leur impact. Elle revient tout d’abord, au regard des travaux conduits
notamment au sein du Comité de Bâle et d’exemples de réglementations
spécifiques élaborées récemment dans plusieurs pays, sur les modalités envisagées
de réglementation du contrôle du risque de non-conformité. Elle rappelle ensuite le
socle réglementaire français à partir duquel le contrôle du risque de non-conformité
peut d’ores et déjà s’exercer. Elle essaie enfin, au vu de ces éléments et dans la
perspective de la poursuite d’un renforcement du contrôle interne, de définir
plusieurs pistes de réflexion quant aux modalités selon lesquelles le contrôle de ce
type de risque pourrait s’organiser.
164
1. ÉTAT DES LIEUX
EN MATIÈRE DE CONFORMITÉ
1.1. Le risque de non-conformité :
un risque à définir
Le risque de non-conformité est défini par le Comité de Bâle 1 comme un
risque de sanction judiciaire, administrative ou disciplinaire, de perte financière,
d’atteinte à la réputation, du fait de l’absence de respect des dispositions
législatives et réglementaires, des normes et usages professionnels et
déontologiques, propres aux activités des banques.
Le Comité de Bâle a réfléchi à
la notion de risque de nonconformité.
Selon ce document, ceci inclut notamment les dispositions relatives à la
prévention du blanchiment et au financement du terrorisme, la conduite des
activités bancaires et financières (y compris les conflits d’intérêts), la protection de
la vie privée et des données, voire, selon l’approche définie par l’établissement luimême ou par le régulateur, la législation fiscale et le droit du travail.
Ainsi défini, le risque de non-conformité se distingue du risque juridique de
litige avec une contrepartie puisqu’il ne vise pas la mise en cause des
établissements au titre de leurs obligations contractuelles mais les conséquences
dommageables du non-respect de règles relevant pour l’essentiel de l’ordre public.
La définition de la conformité utilisée dans le cadre de cette étude
reprendra dans les grandes lignes celle du Comité de Bâle. La supervision bancaire
s’intéresse naturellement plus spécifiquement au respect des dispositions
spécifiques aux activités bancaires et financières.
1.2. Les établissements de crédit
ont d’ores et déjà pris des dispositions
pour réduire le risque de non-conformité
Les entreprises, notamment les banques, ont amélioré depuis plusieurs
années leurs dispositifs de veille réglementaire afin d’approfondir la connaissance
de la réglementation par leurs salariés et de formaliser davantage les procédures de
contrôle de la conformité de leurs décisions à la réglementation ou aux lois.
Comme le relève le Comité de Bâle, le risque de non-conformité fait désormais
l’objet d’une gestion plus formalisée et identifiée de la part des établissements 2.
Ce constat rejoint l’appréciation qui peut être portée sur la situation des banques
françaises en la matière.
1 Dans le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les
banques « Consultative Document on the Compliance Function in Banks ».
2 « Sound Practices for the Management and Supervision of Operational Risk » – « Saines pratiques de gestion et
de contrôle du risque opérationnel » (février 2003) point 2.
165
Les établissements de crédit
français ont commencé, sous
l’impulsion notamment de la
Commission bancaire, à mettre
en œuvre des dispositifs de
vérification de la
conformité, …
En effet, il ressort d’entretiens conduits avec les principaux établissements
bancaires français que ceux-ci ont tous engagé, à des degrés divers, une réflexion
quant aux modalités d’organisation d’un dispositif permettant de s’assurer de la
conformité de leurs activités à la réglementation, à la loi, aux normes ou aux usages
professionnels. La quasi-totalité des grands établissements se sont déjà dotés (ou
sont en cours de désignation) d’un responsable de la conformité (le titre étant
variable selon les établissements : responsable de la conformité ou « compliance
officer », déontologue…). Les établissements de crédit français apparaissent
cependant avoir des définitions hétérogènes de la conformité.
Chez un certain nombre d’entre eux, le champ d’intervention du
responsable désigné de la conformité ou de la compliance se limite à la supervision
du dispositif de prévention du blanchiment et à la déontologie, notamment dans
l’acception du règlement général de l’ex-CMF 1. Le responsable dispose alors d’un
nombre relativement limité de personnes pour l’assister.
… ils ont désigné des
responsables internes, …
… et certains ont mis en place
un état de suivi adapté.
Dans d’autres établissements, le responsable de la conformité est assisté
d’équipes qui lui permettent d’avoir une vision (quasi) exhaustive des opérations
du groupe. La définition du risque de non-conformité est élargie au contrôle de
conformité des opérations aux dispositions législatives et réglementaires en
vigueur, aux normes et usages professionnels et déontologiques ainsi qu’aux
orientations de l’organe délibérant ou de l’organe exécutif. Cela se traduit
notamment par la consultation systématique, pour chaque opération nouvelle
significative, d’un responsable du suivi du risque de non-conformité. Par ailleurs,
les équipes présentes dans tous les métiers de l’établissement relaient le message
du responsable de la conformité auprès des opérationnels. Plusieurs de ces
établissements ont élaboré des procédures précisant les modalités du suivi de ce
risque, voire une charte de la conformité.
Enfin, quelques établissements, plus avancés encore, ont d’ores et déjà
construit un état spécifique au suivi du risque de non-conformité. Ceci permet
d’informer régulièrement les niveaux les plus élevés de l’établissement (organes
exécutif et délibérant) du niveau de maîtrise de ce risque ainsi que de tout
événement significatif relevant de cette problématique.
D’une manière générale, on observe une perception générale du risque de
non conformité, même si les dispositifs mis en œuvre sont encore parfois
insuffisamment réfléchis et a fortiori développés. Cette évolution s’explique
essentiellement par les événements survenus au cours des dernières années,
rappelés ci-dessus.
1 CMF : Conseil des marchés financiers, désormais fusionné avec la COB (Commission des opérations de
bourse) pour former l’AMF (Autorité des marchés financiers).
2
166
1.3. Un contexte international et réglementaire
en évolution
Depuis plusieurs années, une meilleure prise en compte de la maîtrise de ce
type de risque est au centre des réflexions internationales. À cet égard, le projet de
Nouvel Accord sur les fonds propres (Bâle II) incite les établissements à améliorer
les systèmes de mesure et de gestion des risques et à mieux appréhender
l’ensemble des risques auxquels ils sont exposés. Ceci se traduit par la prise en
compte dans les exigences de fonds propres non plus des seuls risques de crédit et
de marché mais aussi des risques opérationnels.
Si l’on reprend la définition du risque opérationnel — risque de pertes
résultant de carences ou de défaillances attribuables à des procédures, personnels et
systèmes internes ou à des événements extérieurs, y compris le risque juridique
mais à l’exclusion des risques stratégiques et d’atteinte à la réputation — formulée
dans le texte du troisième document consultatif du Comité de Bâle d’avril 2003, on
peut considérer que le risque de non-conformité en relève, à tout le moins en partie.
Plusieurs groupes de travail internationaux ont, notamment dans la
perspective de l’évolution du ratio de solvabilité, engagé une réflexion afin que les
établissements aient une meilleure connaissance et une meilleure maîtrise de ce
type de risques : d’abord plus spécifiquement pour les entreprises d’investissement
(travaux conduits par le CESR, Committee of European Securities Regulators 1) et
plus récemment pour les établissements de crédit au sein du Comité de Bâle.
1.3.1. Une réflexion a d’abord été plus particulièrement conduite
pour les entreprises d’investissement
Le CESR s’est efforcé, dans une étude 2 parue en avril 2002, de définir les
principales caractéristiques de la fonction compliance. Il ressort de ce document
que cette fonction doit notamment :
– être indépendante des « opérationnels » ;
Le CESR a défini les
principales caractéristiques de
la fonction compliance pour les
entreprises d’investissement.
– informer les dirigeants de l’entreprise d’investissement ainsi que les contrôleurs
internes et externes des résultats de ces contrôles ;
– adresser au régulateur un rapport sur les infractions significatives ;
– s’assurer régulièrement de l’adéquation des politiques et des procédures à la
réglementation des services d’investissement.
1 Comité européen des régulateurs de valeurs mobilières.
2 « A European Regime of Investor Protection, The Harmonisation of Conduct of Business Rules » (Un régime
européen pour la protection de l’investisseur – L’harmonisation de l’application des règles de métier).
167
1.3.2. Le Comité de Bâle a récemment fait part
de ses propositions en la matière
Le Comité de Bâle a formulé
des principes relatifs à la
fonction de conformité dans les
banques.
Des réflexions sont également menées sur ce thème au sein du Comité de
Bâle. En matière de risque opérationnel, il a publié un document de travail « Sound
Practices for the Management and Supervision of Operational Risk »
(février 2003). Par ailleurs, il a entrepris des travaux spécifiques sur la conformité.
En effet, un groupe de travail consacré à la fonction de conformité dans les
banques a été constitué ; ce groupe, auquel des représentants du Secrétariat général
de la Commission bancaire ont activement participé, a publié en octobre 2003 un
document consultatif 1. Ce texte, qui a pour objet d’identifier les meilleures
pratiques dans ce domaine et d’en favoriser la diffusion, énonce onze principes
concernant la conformité.
– L’organe délibérant doit superviser la gestion du risque de non-conformité. Il
doit valider la stratégie de l’établissement. Il doit être informé au moins une
fois par an de la politique de conformité et de ses modalités d’application.
– L’organe exécutif doit définir une ligne d’action en matière de « compliance »;
il doit s’assurer qu’elle est suivie et il doit en informer l’organe délibérant.
– L’organe exécutif doit organiser le contrôle du risque de non-conformité de
manière permanente et efficace.
– Le statut de cette fonction doit être formalisé dans une charte ou un document
approuvé par l’organe délibérant, définissant son positionnement, ses
compétences et son rattachement hiérarchique.
– Elle doit être indépendante des équipes opérationnelles.
– Elle a pour objet d’identifier, d’évaluer et de suivre les risques de nonconformité encourus par l’établissement et de conseiller et de rendre compte à
l’organe exécutif sur ce sujet.
– Le responsable de la fonction de conformité est en charge du suivi continu des
activités liées à cette fonction. Le régulateur bancaire doit être informé de son
départ.
– Le personnel mis à sa disposition doit avoir les compétences, l’expérience et les
qualités professionnelles et personnelles permettant d’assumer cette fonction.
– Ce dispositif doit permettre aux établissements ayant une activité internationale
de gérer de manière satisfaisante le risque de non-conformité en se conformant
aux règles locales.
– L’activité de la fonction de conformité doit être incluse dans le champ du
contrôle interne.
– Certaines activités de la fonction de conformité peuvent éventuellement faire
l’objet d’une externalisation. Le responsable de la fonction de conformité doit
être salarié de l’établissement.
1 « Consultative Document on the Compliance Function in Banks », 27 October 2003.
168
L’objectif du Comité de Bâle, en publiant pour consultation un tel
document, est de favoriser la diffusion, au sein des établissements de crédit, d’une
« culture de conformité » afin qu’elle se traduise, formellement, par une attention
accrue portée à ce risque. L’intention du Comité de Bâle est de veiller à ce que
cette fonction soit bien assurée. L’attention des établissements est attirée sur le fait
qu’il s’agit — par nature — d’une fonction indépendante des activités
opérationnelles, dont le rattachement hiérarchique doit être très élevé, mais dont le
fonctionnement est inclus dans le champ d’investigation de l’audit/inspection
interne.
1.4. Des réglementations spécifiques
au risque de non-conformité
existent déjà
Il ressort d’une étude conduite par Price Waterhouse Coopers 1 sur la
réglementation en matière de conformité dans une douzaine de pays occidentaux
que, dans la moitié de ceux-ci, une réglementation spécifique a été élaborée.
Selon cette étude, les États-Unis ont commencé, dès les années 1930-1940,
à élaborer une réglementation en matière de compliance enrichie au fil des ans.
Plus près de nous et au cours des dernières années, plusieurs pays, notamment le
Royaume-Uni et la Belgique, ont développé un cadre réglementaire autour de la
fonction de conformité.
1.4.1. La réglementation en matière de conformité
au Royaume-Uni
Au Royaume-Uni, la réglementation 2 définit les obligations des
établissements en matière de conformité : une entreprise doit établir et maintenir un
dispositif de contrôle de la conformité de ses opérations avec les textes prévus par
la réglementation afin de prévenir tout risque que l’entreprise soit utilisée à des fins
criminelles 3.
La nature du dispositif de mesure et de contrôle des risques mis en œuvre
dépend de la nature, du volume et de la complexité de l’activité, de la diversité (y
compris géographique) des opérations et du degré de risque associé à chaque
métier. Ces dispositions se traduisent pour la très grande majorité des entreprises
du secteur financier britannique par la nomination d’un compliance officer
(responsable de la conformité).
Au Royaume-Uni, l’ampleur du
dispositif dépend du volume et
de la nature des opérations
réalisées.
Si la nature, le volume ou la complexité de l’activité l’exigent, la création
d’un département propre, en charge du risque de non-conformité, est demandée. Il
doit être suffisamment indépendant pour remplir sa mission efficacement. Il
convient de formaliser ses modalités d’organisation et d’activité. Il doit disposer de
moyens suffisants. Il doit avoir accès à toute l’information qui lui est nécessaire.
1 « Regulatory Compliance: Adding value » (Conformité réglementaire : faire mieux).
2 Chapitre 3 « Systems and controls » de la réglementation du Financial Services Authority (FSA).
3 « A firm must take reasonable care to establish and maintain effective systems and controls for compliance with
applicable requirements and standards under the regulatory system and for countering the risk that the firm
might be used to further financial crime. »
169
Son responsable, dont la
nomination est approuvée par
le FSA, a accès direct au
Conseil d’administration.
Son responsable, dont la nomination est approuvée par le Financial
Supervisory Authority (FSA) 1, doit avoir un accès direct au conseil
d’administration. La responsabilité de la fonction doit être exercée par un cadre
dirigeant et elle ne peut pas être externalisée.
Ce responsable participe à l’élaboration de solutions aux problèmes
réglementaires rencontrés par l’établissement. Il a pour mission de fournir des
conseils aux différents départements de l’établissement en matière de respect de la
réglementation. Il aide la société à conduire ses activités en conformité avec les
lois, règlements et codes de déontologie. Il est enfin un des interlocuteurs du
régulateur dans l’établissement.
1.4.2. La réglementation en matière de conformité en Belgique
En Belgique, la compliance est
en charge de l’examen et de
l’amélioration du respect des
règles relatives à l’intégrité du
métier de banquier.
En Belgique, la Commission bancaire et financière a rendu publique en
décembre 2001 une circulaire 2 définissant les principes auxquels la fonction de
compliance des établissements de crédit doit répondre. Les principaux points de
cette réglementation sont les suivants.
− La compliance est une fonction indépendante au sein de l’organisation, axée sur
l’examen et l’amélioration du respect par l’établissement des règles relatives à
l’intégrité du métier de banquier.
− Dans le cadre de sa mission de surveillance, le conseil d’administration vérifie
régulièrement si l’établissement dispose d’une fonction de compliance
adéquate. Le comité de direction prend les mesures nécessaires à cette fin.
Le Comité de direction est très
impliqué dans cette fonction…
− Le comité de direction élabore une politique d’intégrité dans une note de
politique qui est régulièrement actualisée.
− Il informe le conseil d’administration au moins une fois par an de l’état de la
situation en matière de compliance, le cas échéant par l’intermédiaire du comité
d’audit.
… qui est assurée par une
cellule permanente
spécialement dédiée.
− Le département compliance doit disposer, au sein de l’organisation, d’un statut
adapté, garanti par un document approuvé par le comité de direction et confirmé
par le conseil d’administration.
Au total, il ressort que plusieurs pays ont d’ores et déjà élaboré des
réglementations spécifiques en matière de contrôle de conformité, qui présentent
plusieurs points communs. En particulier, le périmètre des activités de la structure
en charge du contrôle de conformité doit être clairement défini, cette structure doit
être indépendante et organisée de manière adaptée à l’entreprise. Son rattachement
hiérarchique doit être très élevé et elle doit être distincte de l’audit interne.
1 Autorité de supervision financière, en charge de la supervision des secteurs bancaire et des assurances ainsi que
des marchés de capitaux au Royaume-Uni.
2 Circulaire D1 2001/13.
170
2. LA FRANCE DISPOSE D’ORES ET DÉJÀ
D’UN SOCLE RÉGLEMENTAIRE
POUR ENCADRER LES MODALITÉS
DE CONTRÔLE DU RISQUE
DE NON-CONFORMITÉ
La réglementation française a précisé les exigences minimales en matière
de contrôle interne au cours des dernières années et a incité les banques à mettre en
place des dispositifs de maîtrise des risques adaptés aux risques encourus. Plusieurs
références réglementaires peuvent à cet égard servir de base à la construction d’un
dispositif de maîtrise du risque de non-conformité : le règlement n° 97-02 du
Comité de la réglementation bancaire et financière (CRBF) relatif au contrôle
interne, le titre III du règlement de l’ex-Conseil des marchés financiers (CMF), la
réglementation relative à la prévention du blanchiment et, plus récemment, la loi de
sécurité financière.
2.1. Les exigences en matière de contrôle interne
ont été précisées en France
avec le règlement n° 97-02,
étendu aux entreprises d’investissement
en 2001 (règlement n° 2001-01)
L’entrée en vigueur du règlement n° 97-02 a constitué une étape majeure
du renforcement de la surveillance des risques et de l’efficacité des contrôles au
sein des établissements de crédit et des entreprises d’investissement.
En effet, ce texte prévoit tout d’abord l’obligation pour les établissements
de se doter d’un dispositif de contrôle interne (ses caractéristiques sont détaillées
dans les titres II à VI du règlement), dont ils doivent s’assurer du caractère adapté à
leur activité, leurs risques, leur taille.
Conformément aux articles 7 à 11 du règlement n° 97-02, les unités en
charge du contrôle interne doivent être indépendantes, disposer de moyens adaptés
leur permettant d’assurer un contrôle exhaustif des risques et d’examiner
périodiquement les systèmes de contrôle mis en place. De par la définition même
de leur fonction, elles doivent participer à la maîtrise de tous les risques encourus
par l’établissement, y compris ceux de non-conformité.
L’article 5 du règlement prévoit spécifiquement dans les missions du
dispositif de contrôle interne que celui-ci doit :
« Vérifier que les opérations réalisées par l’entreprise, ainsi que
l’organisation et les procédures internes sont conformes aux dispositions
législatives et réglementaires en vigueur, aux normes et usages professionnels et
déontologiques et aux orientations de l’organe délibérant ou de l’organe
exécutif. »
Le règlement n° 97-02 intègre
déjà l’obligation d’un dispositif
de contrôle du risque de nonconformité.
Le règlement n° 97-02 prévoit par conséquent explicitement le contrôle du
risque de non-conformité par les établissements.
171
Enfin, ainsi que prévu par les articles 38 et 39 du règlement précité,
l’organe délibérant doit procéder à l’examen des informations transmises par
l’organe exécutif en matière de contrôle interne. Dans ce cadre, l’organe délibérant
doit donc être informé des mesures adoptées en matière de conformité.
La loi de sécurité financière — avec l’obligation pour le président de
l’organe délibérant de rédiger un rapport dans lequel il rend compte des conditions
de préparation et d’organisation des travaux de l’organe délibérant ainsi que des
procédures de contrôle interne mises en place par la société — est dans la
continuité des exigences introduites par le règlement n° 97-02 en matière de
contrôle interne. On doit considérer, là encore, que les informations relatives à la
maîtrise du risque de non-conformité devraient figurer dans ce document.
2.2. Le règlement général de l’ex-CMF
précise les attentes en matière de déontologie
Les règles déontologiques des
prestataires de services
d’investissement ont été
définies.
Avec le titre III du règlement de l’ex-CMF, relatif aux règles de bonne
conduite à suivre, les obligations des prestataires de services d’investissement en
matière de déontologie ont été définies. Ceux-ci doivent désigner un responsable de
la déontologie. Ses missions sont notamment définies par l’article 3-1-3 :
– identification des dispositions d’ordre déontologique nécessaires au respect des
règles de bonne conduite ;
– établissement d’un recueil de l’ensemble des dispositions déontologiques que
doivent observer le prestataire habilité, les personnes agissant pour son compte
ou sous son autorité et ses mandataires […] agissant dans le cadre du service
d’investissement ;
– diffusion de tout ou partie de ces dispositions auprès des collaborateurs et des
mandataires du prestataire habilité ;
– contrôle du respect par le prestataire habilité, ses collaborateurs et ses
mandataires de l’ensemble des règles de bonne conduite et de la mise en œuvre
des dispositions appropriées en cas de manquement à ces règles ;
– réalisation, indépendamment des missions de contrôle, de missions d’assistance
et d’orientation ayant pour objet de guider les collaborateurs du prestataire
habilité pour l’application des règles de bonne conduite.
2.3. Les exigences en matière de prévention
du blanchiment sont très précises
Au cours des dernières années, les exigences en matière de prévention du
blanchiment ont été précisées. Elles concernent notamment :
– l’identification et la connaissance de la clientèle ;
– l’examen des opérations atypiques ;
– l’obligation de déclaration des opérations suspectes à Tracfin ;
– la constitution de dossiers de renseignements ;
– l’obligation de se doter d’une organisation et de procédures internes en la
matière ;
172
– la conservation des documents et justificatifs pendant au moins cinq ans ;
– la désignation d’un ou plusieurs correspondants Tracfin.
Ces obligations ont été renforcées récemment par le règlement n° 2002-01
du Comité de la réglementation bancaire et financière — CRBF — relatif au
contrôle des chèques, par le règlement n° 2002-13 relatif à la monnaie électronique
et par la loi du 11 février 2004 sur l’identification en matière de banque à distance.
Le respect de l’ensemble de ces obligations par les établissements les a conduits à
renforcer les dispositifs de prévention du blanchiment.
Les obligations en matière de
prévention du blanchiment ont
été récemment encore
renforcées.
Par ailleurs, il convient de noter que des renforcements réglementaires sont
envisagés en matière de banque à distance et de transparence des transferts de
fonds. Par ailleurs, la transposition des recommandations du Comité de Bâle sur la
connaissance de la clientèle et des quarante recommandations révisées du Gafi 1
devrait être effectuée prochainement.
La France dispose donc d’ores et déjà de plusieurs textes qui prévoient
— le plus souvent implicitement — le contrôle de la conformité des transactions
des établissements à la réglementation. Toutefois, ces textes ne définissent pas
encore précisément les obligations spécifiques des établissements en matière de
maîtrise et de contrôle du risque de conformité et le champ de celui-ci.
2.4. Dans le cadre de l’instruction des demandes
d’agrément et de changement de contrôle,
le Comité des établissements de crédit
et des entreprises d’investissement (CECEI)
prête également attention à l’existence
d’un dispositif de vérification de la conformité
adapté à la taille et aux activités
des demandeurs
Le CECEI prête attention à ce que la présentation de l’organisation interne
des demandeurs comprenne une description des fonctions de contrôle interne, qui
peuvent inclure celle de conformité aux côtés de celle d’audit/inspection ou des
autres types de contrôles internes permanents, surtout lorsque la taille ou la
multiplicité des activités accroissent l’importance potentielle des risques de cette
nature.
1 Gafi : Groupe d’action financière sur le blanchiment des capitaux.
173
3. IL EXISTE DIFFÉRENTES PISTES POSSIBLES
POUR RENFORCER LES MOYENS
MIS EN ŒUVRE POUR LIMITER LE RISQUE
DE NON-CONFORMITÉ
Les moyens mis en œuvre pour
limiter le risque de nonconformité relèvent de la
responsabilité des dirigeants.
Il n’appartient pas à la Commission bancaire de déterminer les choix de
gestion des établissements, ni de définir les procédures internes de ceux-ci ; cette
responsabilité incombe aux organes sociaux. En revanche, la Commission bancaire
attache depuis de longues années une attention toute particulière à la qualité du
dispositif de contrôle interne, et notamment à sa capacité de « vérifier que les
opérations réalisées par l’entreprise, ainsi que l’organisation et les procédures
internes sont conformes aux dispositions législatives et réglementaires en vigueur,
aux normes et usages professionnels et déontologiques et aux orientations de
l’organe exécutif » (article 5a du règlement n° 97-02 relatif au contrôle interne).
Il paraît indispensable, d’une part, de tirer des enseignements de l’évolution
de l’environnement français et international en matière d’exigence de conformité,
d’autre part, de prendre en compte l’état d’avancement des réflexions en la matière.
À partir des travaux engagés par le Comité de Bâle et de la pratique de
nombreux établissements en la matière, et compte tenu des discussions
constructives engagées avec nombre de groupes bancaires au cours des derniers
mois, il est possible de définir des pistes de réflexion sur les caractéristiques que
pourrait présenter une fonction en charge de la mesure, de la maîtrise et du contrôle
du risque de non-conformité.
3.1. La supervision bancaire
contribue fortement à la mise en œuvre
d’une fonction interne de contrôle
de la conformité
Au terme de l’examen rapide de l’état des lieux en matière de conformité,
le risque de non-conformité peut être défini comme un risque de non respect des
dispositions réglementaires applicables aux activités bancaires et financières, y
compris celles relatives à la prévention du blanchiment et du financement du
terrorisme, des normes et usages professionnels et déontologiques.
La supervision bancaire doit à tout le moins s’attacher à la vérification du
principe de conformité pour tout ce qui relève spécifiquement de l’activité bancaire
et financière, dans le cadre du dispositif plus général du contrôle interne permanent
des opérations.
Par ailleurs, ainsi que le rappelle le Comité de Bâle, il convient,
concomitamment à la mise en place d’une fonction de conformité (et
conformément à l’article 40 du règlement n° 97-02), d’en définir les attributions de
manière formalisée. Cette formalisation peut, par exemple, prendre la forme d’une
charte dont tous les membres du personnel devront être destinataires.
174
3.1.1. Un champ d’exercice de la fonction couvrant
tous les secteurs, toutes les zones géographiques
et tous les contextes réglementaires du groupe
Le champ d’exercice de la fonction de conformité doit être exhaustif. Il doit
intégrer non seulement les métiers de banque de financement et d’investissement,
pour lesquels les établissements ont souvent déjà mis en œuvre des dispositifs,
mais aussi les autres activités. Il est ainsi nécessaire — et l’actualité récente a
encore mis l’accent sur ce point — de porter une grande attention aux risques de
conflits d’intérêts dans le cadre de l’activité de banque d’affaires. L’exercice d’une
activité de banque de détail implique une connaissance des législations afférentes,
par exemple le droit de la consommation. D’une manière générale, il convient de
veiller à la prévention des risques éventuels de conflits d’intérêts entre les
différents métiers et implantations de la banque.
Le champ d’application de
l’activité couvre tous les
secteurs, toutes les zones
géographiques et tous les
contextes réglementaires du
groupe.
Pour tous ces métiers, le champ d’investigation doit être mondial. Les
entreprises assujetties s’assurent que leurs filiales et succursales à l’étranger
mettent en place des dispositifs de contrôle de la conformité de leurs opérations qui
respectent les dispositions locales applicables à leur activité. En outre, il convient,
en cas d’opération de croissance externe, que l’entité acquise soit intégrée le plus
rapidement possible au dispositif de contrôle interne, y compris en ce qui concerne
le risque de non-conformité.
Le champ d’action de la
fonction de conformité doit être
mondial et n’exclure aucun
métier.
Si l’externalisation d’activités peut permettre de réduire certains risques, en
profitant de l’expertise de spécialistes, les opérations effectuées par le sous-traitant
restent sous la responsabilité de la banque. L’externalisation d’une activité auprès
d’un partenaire ne respectant pas la réglementation peut l’exposer à un risque de
réputation non négligeable. Ce risque peut être d’autant plus important que le
partenaire sera dans un pays étranger, dont l’établissement n’aura pas forcément la
maîtrise de la réglementation. L’établissement doit par conséquent prendre en
compte ces « démembrements » dans sa politique de maîtrise du risque de
conformité et plus largement de contrôle interne.
3.1.2. Une contribution générale au renforcement d’une culture
de la conformité
Outre la supervision du dispositif de prévention du blanchiment et les
missions relatives à la déontologie, l’une des principales fonctions de la fonction
compliance doit être la contribution à l’émergence ou au renforcement d’une
culture de la conformité au sein de l’établissement.
À cette fin, une sensibilisation de tout le personnel au travers d’actions de
formation et une actualisation régulière des connaissances des agents au fur et à
mesure des évolutions réglementaires doivent être organisés.
Il convient en outre d’être attentif au fur et à mesure du développement de
nouvelles activités et de l’apparition de nouvelles implantations — notamment
dans des pays desquels l’établissement était jusque-là absent — que le personnel
dispose effectivement de toute la connaissance réglementaire et législative
nécessaire à l’exercice de ces nouvelles activités et qu’à défaut la formation
appropriée soit mise en œuvre le plus rapidement possible. Il convient également
que les dirigeants des entreprises puissent s’assurer de l’actualisation régulière des
connaissances de leurs collaborateurs en la matière. Une attention toute particulière
Une attention particulière doit
être portée aux activités et
implantations nouvelles.
175
doit en outre être portée aux opérations transfrontières, qui exigent le respect de
plusieurs réglementations ou législations.
Enfin, une charte ou un recueil de procédures doivent être établis et
largement diffusés.
3.1.3. Une activité de conseil et de contrôle ex ante
La fonction de conformité doit
avoir un rôle de conseil.
Avant qu’un établissement développe une nouveau produit ou modifie
profondément un produit existant, qu’il noue une relation commerciale avec un
nouveau client ou une nouvelle catégorie de contreparties, qu’il décide
d’externaliser une activité, il est souhaitable que l’établissement de crédit ou
l’entreprise d’investissement s’assure que cette opération ne le met pas en
infraction à une loi ou à un règlement, ne l’expose pas à un risque de réputation, ne
se traduit pas par un conflit d’intérêts. L’une des missions du responsable central,
ou le cas échéant local ou spécialisé pour le métier considéré, de la vérification de
la conformité, paraît devoir être de procéder à ce type d’examen ex ante de façon à
conseiller les échelons hiérarchiques considérés, y compris l’organe exécutif.
Il serait ainsi souhaitable que se généralise la pratique consistant pour les
établissements à prévoir des procédures spécifiques d’examen de la conformité,
notamment d’approbation préalable systématique, pour les produits nouveaux ou
fortement modifiés. Ainsi que de nombreux établissements le font déjà, il paraîtrait
utile de systématiser la pratique des comités « nouveau produit », auxquels un
représentant de la fonction de conformité doit participer.
3.1.4. La mise en œuvre d’une information interne adaptée
Le suivi du risque de conformité par l’organe exécutif ne constitue qu’une
de ses nombreuses responsabilités. Il doit disposer d’une information fiable et
synthétique afin de hiérarchiser rapidement les risques et de s’assurer que la
politique de conformité mise en œuvre au sein de son établissement permet de
détecter les éventuelles anomalies et surtout de les prévenir.
Les établissements doivent tout d’abord identifier parmi leurs opérations les
zones de risques ainsi que leur degré de vulnérabilité. Il convient par conséquent
que la fonction de conformité participe à l’élaboration d’une cartographie des
risques de non-conformité.
L’organe exécutif et l’organe
délibérant doivent disposer
d’une information spécifique
sur le suivi du risque de nonconformité.
Il importe par ailleurs que les établissements se dotent d’outils
d’information spécifiquement conçus pour le suivi du risque de non-conformité. Il
est également nécessaire que l’organe exécutif soit rapidement informé de la
découverte d’éventuelles infractions et qu’une déclaration rapide des incidents
concernant le respect des lois françaises ou étrangères soit faite, lorsque la loi ou la
réglementation l’exige, aux autorités compétentes.
Les établissements doivent s’attacher à élaborer un suivi des opérations les
plus porteuses de risques de non-conformité : opérations complexes, par exemple,
opérations d’investissement et de désinvestissement financier, opérations
transfrontières... Il convient également de mettre en place un suivi des mesures
correctives mises en œuvre à la suite de la détection de défaillances. Ce système,
pour être pleinement efficace, doit être mondial.
176
3.2. Une indépendance à assurer
La fonction en charge de la maîtrise et du contrôle du risque de nonconformité doit être indépendante des services opérationnels, ainsi que précisé dans
les réglementations rappelées dans cette étude et dans les documents de travail du
CESR et du Comité de Bâle.
À l’image de ce qui est prévu pour le contrôle interne (article 7 du
règlement n° 97-02), le rattachement hiérarchique du responsable central de la
conformité doit être le plus élevé possible, afin d’en garantir l’indépendance. Il
semble souhaitable, ainsi que le suggère le document consultatif du Comité de
Bâle, que la responsabilité au plus niveau de la conformité soit assurée par un
membre de l’organe exécutif.
Le positionnement
hiérarchique du responsable
de la conformité doit en
garantir l’indépendance, …
Il convient également d’assurer dans les groupes l’indépendance des
compliance officers présents dans les unités opérationnelles. Pour cela, il pourrait
être envisagé que leur rémunération et le déroulement de leur carrière soient
décidés soit par les responsables de la conformité groupe soit, à tout le moins, avec
leur avis conforme.
Que le responsable de cette fonction soit ou non membre du comité
exécutif, il convient qu’il ait un accès privilégié à l’organe exécutif de
l’établissement, afin de l’informer des éventuelles défaillances.
Si l’indépendance est une condition indispensable au bon fonctionnement
d’une fonction de conformité, il importe également que celle-ci soit facilement
accessible pour tous les collaborateurs de l’établissement. Il paraît envisageable à
cet égard de protéger les agents qui souhaitent informer un responsable du contrôle
de la conformité d’une éventuelle défaillance du dispositif ou d’une malversation
(cf. protection des « whistle blowers » dans la loi Sarbarnes Oxley).
… lui assurer un accès direct à
l’organe exécutif…
… et une disponibilité à l’égard
de l’ensemble des
collaborateurs.
3.3. Une fonction qui devra être adaptée
à la nature de chaque établissement
Les propositions de création d’une fonction « compliance » formulées dans
le document du Comité de Bâle ont pu être perçues comme plus particulièrement
adaptées aux grands établissements internationaux. La problématique de la
conformité des décisions des établissements de taille plus modeste n’en reste pas
moins pertinente. Elle est même parfois encore plus prégnante du fait, d’une part,
de la plus grande difficulté pour les établissements de taille modeste à mettre en
œuvre une séparation des fonctions effectives et, d’autre part, à disposer de toutes
les compétences pour parfaitement maîtriser la réglementation et ses évolutions. Il
convient par conséquent de réfléchir également dans ce cas aux modalités
d’adaptation d’un système de maîtrise du risque de non-conformité.
Le risque de non-conformité
concerne tous les
établissements, y compris les
plus petits, sous une forme
adaptée à chacun.
Le dispositif de suivi du risque de non-conformité s’inscrivant largement
dans le cadre du dispositif de contrôle interne permanent, il paraît envisageable
d’appliquer des dispositions similaires à celles prévues par l’article 8 du règlement
n° 97-02 pour le dispositif de contrôle interne, dans le cas d’établissements de taille
modeste ou appartenant à des groupes.
177
L’organisation de la fonction
de conformité doit être
cohérente avec l’organisation
générale de l’établissement et,
le cas échéant, de son groupe
d’appartenance.
Lorsque la taille de l’entreprise ne justifie pas de confier cette
responsabilité à une personne spécialement désignée, le responsable du contrôle
interne permanent semble devoir assurer la coordination de tous les dispositifs qui
concourent à l’exercice de la fonction de contrôle de la conformité.
Lorsqu’une entreprise appartient à un groupe au sens de l’article 1er du
règlement n° 2000-03 ou relève d’un organe central, cette responsabilité pourrait
être assurée au niveau d’une autre entreprise du même groupe ou affiliée au même
organe central, après accord des organes délibérants des deux entreprises
concernées.
Les modalités d’organisation peuvent varier d’un établissement à un autre :
certains ont adopté une structure fortement décentralisée ; d’autres, au contraire,
ont mis en place une équipe centrale développée. Cette organisation, quelle qu’elle
soit, devra garantir l’indépendance des agents en charge du contrôle de la
conformité. Il paraît néanmoins nécessaire, pour que celle-ci soit aussi forte dans
tous les métiers et implantations d’un groupe bancaire et que ses méthodes soient
homogènes, qu’une coordination soit assurée.
3.4. Une implication des plus hautes instances
de l’établissement
De même que pour le contrôle interne, il appartient aux organes exécutif et
délibérant de veiller à la mise en place de systèmes efficaces de maîtrise et de
contrôle des risques. Cette implication de l’organe délibérant et de l’organe
exécutif et le soutien qu’ils peuvent apporter à la fonction de conformité
conditionnent très largement l’efficacité de celle-ci.
L’organe délibérant doit être
tenu informé du suivi du risque
de non-conformité par
l’organe exécutif…
… qui définit les modalités
d’application de la politique de
conformité et en vérifie
l’efficacité.
178
L’organe délibérant doit tout d’abord disposer d’une information suffisante,
complète et synthétique quant au suivi et aux contrôles du risque de nonconformité. Conformément à l’article 38 du règlement n° 97-02, l’organe
délibérant doit procéder à l’examen de l’activité et des résultats du contrôle interne
— et donc entre autres du contrôle de la conformité — sur la base des informations
qui lui sont transmises par l’organe exécutif et par les responsables du contrôle
interne et de la conformité. De même, conformément à l’article 39 du règlement
n° 97-02, « l’organe exécutif d’un établissement doit informer, au moins une fois
par an, l’organe délibérant, et le cas échéant le comité d’audit, des éléments
essentiels et des enseignements principaux qui peuvent être dégagés des mesures
de risques auxquels l’entreprise, et le cas échéant le groupe, sont exposés. ». Il
convient, là encore, que les éléments relatifs au risque de non-conformité figurent
dans cet état de suivi. L’examen des informations relatives au risque de nonconformité peut être délégué au comité d’audit ou à un comité, spécifique à la
conformité, émanation de l’organe délibérant.
Il convient que l’organe exécutif définisse les modalités d’application de la
politique de conformité et qu’il s’assure, à tout le moins une fois par an, que le
dispositif de contrôle interne examine régulièrement le dispositif de conformité.
Cette implication est indispensable au succès de la diffusion d’une culture de la
conformité au sein de l’entreprise.
3.5. La fonction de conformité
doit disposer de moyens suffisants
Il importe que les moyens affectés à la fonction de contrôle du risque de
non-conformité par les établissements leur permettent d’assurer une couverture
suffisante de ce risque au sein de toutes les entités. Afin d’assurer la crédibilité des
agents en charge de la conformité, ceux-ci doivent être parfaitement capables de
maîtriser les opérations qui sont soumises à leur examen. À cet égard, la présence
d’anciens opérationnels parmi les équipes et plus largement la diversité des profils
des agents constituent des atouts.
La formation et l’expérience
des agents mis au service de la
fonction de conformité sont
déterminants pour la crédibilité
de celle-ci.
On peut noter que les établissements de crédit s’efforcent de rassembler au
sein des équipes en charge de la conformité des personnels dont les profils sont
complémentaires : agents ayant une formation de juristes, anciens auditeurs
internes ou externes, anciens opérationnels.
D’importants progrès restent toutefois à accomplir en matière d’allocations
de moyens suffisants à la fonction de conformité afin que la prise en compte de
toutes les implantations et de tous les métiers soit assurée dans des conditions
pleinement satisfaisantes.
3.6. Une fonction « auditable »
L’audit ou inspection interne des établissements a un rôle essentiel à jouer
dans le dispositif de maîtrise du risque de non-conformité. Il doit en particulier
vérifier le bon fonctionnement du dispositif de contrôle interne.
Conformément à l’article 11 du règlement n° 97-02, il convient que les
entreprises assujetties procèdent à un réexamen régulier des systèmes de mesure
des risques et de détermination des limites, y compris pour les risques de nonconformité, afin d’en vérifier la pertinence au regard de l’évolution de l’activité, de
l’environnement des marchés ou des techniques d’analyse. Les organes exécutif et
délibérant doivent en outre disposer des éléments leur permettant d’apprécier la
pertinence de la méthodologie de mesure des risques et du dispositif de contrôle de
la conformité.
Il paraît par conséquent indispensable que la fonction de conformité soit
« auditable », à l’instar des autres activités d’un établissement. Si l’on veut que
l’audit (ou inspection) puisse juger en toute indépendance de l’efficacité du
dispositif de conformité — il devra notamment s’assurer que le responsable de la
conformité participe efficacement à la diffusion d’une culture de la conformité —
et de la pertinence des moyens qui lui sont alloués, il apparaît souhaitable (à
l’exception des entreprises de taille la plus modeste et n’appartenant pas un groupe)
que les responsables de l’audit et de la conformité soient distincts.
La fonction de conformité
s’inscrit dans le champ
d’investigation de l’audit
interne.
179
CONCLUSION
La réflexion en matière de contrôle du risque de non-conformité, aussi bien
du côté des régulateurs bancaires aux niveaux international (Comité de Bâle) et
national que des établissements eux-mêmes, est déjà largement engagée. Elle peut
s’appuyer, à tout le moins en France, sur un principe réglementaire établi à
l’article 5 du règlement n° 97-02 du Comité de la réglementation bancaire et
financière et sur la sensibilisation et l’expérience des établissements de crédit et des
entreprises d’investissement français.
Du fait de l’évolution de l’activité des établissements, dans la perspective
d’un renforcement des efforts engagés et d’un alignement sur les meilleurs
standards internationaux, plusieurs éléments paraissent d’ores et déjà pouvoir être
soulignés :
– si la fonction de contrôle de conformité doit être indépendante et couvrir de
manière exhaustive le risque de non-conformité au sein d’un établissement, il
n’existe pas de schéma unique d’organisation car celle-ci doit avant tout prendre
en compte les activités et la taille des entreprises ;
– la fonction de conformité doit jouer un rôle croissant au sein des établissements
assujettis, lors du choix des nouvelles opérations comme au cours de la vie de
l’entreprise, au niveau national comme international ; elle doit faire l’objet de
procédures de formation, d’information, d’édiction de normes internes et de
contrôle permanent ;
– l’implication des organes exécutif et délibérant est indispensable ;
– la conformité doit être un élément fort de la culture de l’entreprise, ce qui
signifie que les efforts doivent être constamment renouvelés en la matière.
De la même façon que les investissements consentis en matière de maîtrise
des risques de crédit et de marché au cours des dernières années ont permis aux
établissements de mieux les sélectionner et les mesurer, les efforts qui doivent être
poursuivis en matière de contrôle de la conformité permettront aux établissements
de maîtriser ce risque croissant à l’échelle mondiale mieux encore qu’aujourd’hui,
et participeront ainsi au maintien de la très haute qualité de la place bancaire et
financière française.
Ces efforts doivent être rapprochés des développements réalisés dans la
perspective de la préparation au nouveau ratio de solvabilité, notamment en ce qui
concerne les risques opérationnels.
Enfin, ils doivent s’inscrire dans le cadre, plus général, des actions
engagées dans tous les secteurs économiques en matière d’amélioration des
pratiques de gouvernance d’entreprise.
180